弹簧安全 - 一个主动角色

Question

想象一下，用户可以在系统中拥有一个或多个角色。在 登录后，用户必须选择这些角色。此时只有 这个选择的角色应该由spring security检查。

例如用户ROLE_A，ROLE_B

requestmaps：

/电子书/ **

- > ROLE_A，ROLE_B /作家/ ** - >作用

正常的行为是，用户可以访问所有定义 行动。在我的特殊情况下，用户将选择ROLE_A，然后仅为/ author/**操作获取 访问权限。换句话说，有可能 在安全上下文中定义一个活动角色，这样弹簧安全性会根据这个单一角色执行安全检查吗？

Answer 1

虽然我建议避免这种方法，但从最终用户的角度来看，我了解有时候有些需求超出了您的控制范围。因此，随着中说，请注意，您已经为春季安全定义的Person对象使用应包含以下内容：

Set<Role> getAuthorities() { 
    PersonRole.findAllByPerson(this).collect { it.role } as Set 
} 

如果定义某处属性，指定你选择的角色，仅修改上面的方法，只返回该角色。